Você está na página 1de 17

Como escolher e instalar um firewall para proteger a sua rede

Índice

Introdução

Passo 1 - Verifique as suas necessidades de segurança

Passo 2 - Escolha entre os vários tipos de firewalls

Passo 3 - Delimite perímetros de segurança internos e externos

Passo 4 - Deficiências dos firewalls

Introdução

Voltar ao topo

Se pretender ligar a sua rede à Internet, vai precisar de um

firewall para proteger os seus recursos informáticos de hackers,

concorrentes ou simples curiosos.

Esta ferramenta - que pode ser de hardware ou software -

constitui a primeira linha de defesa contra o acesso não

autorizado. A crescente utilização da

Internet como um meio para efectuar negócios colocou uma enorme

quantidade de informação confidencial perante um maior perigo de

acesso, alteração e eliminação

não-autorizada.
As organizações têm vindo a reconhecer a necessidade de adoptar

medidas de segurança com o objectivo de proteger os seus dados.

Um firewall - barreira de

fogo - é normalmente o primeiro dispositivo de segurança que uma

companhia implementa como parte de uma infra-estrutura de

protecção da informação, constituindo

desta forma a primeira linha de defesa contra o acesso não-

autorizado à rede interna.

Ao mesmo tempo os firewall podem da mesma forma constituir uma

protecção de alguns computadores dentro da rede interna. Dados

sensíveis da organização podem

assim ser resguardados de olhos maliciosos de funcionários da

organização, que não devem ter acesso à informação da

contabilidade ou dos recursos humanos.

Sendo uma das armas mais efectivas que as empresas dispõem na

luta contra a permanente ameaça dos hackers perante o seu site de

comércio electrónico ou

rede interna (Intranet), um firewall consiste num elemento de

hardware ou software localizado entre duas redes - uma segura,

como por exemplo, a rede interna

da organização, e outra insegura, como é o caso da Internet - e o

objectivo é actuar como um portão de segurança entre ambas.


Originalmente, o termo referia-se

a uma técnica de construção destinada a evitar que o fogo se

propagasse de um quarto para outro.

Steve Gibson, especialista em segurança informática e fundador da

Gibson Research Corporation, afirma na secção Shields UP! que "um

firewall isola completamente

o computador ou sistema de computadores, utilizando um muro de

código que inspecciona cada pacote individual de dados à medida

que chegam a cada um dos

lados do firewall - de fora para dentro do computador e vice-

versa - para determinar se devem ser autorizados a passar ou se

são bloqueados".

Passo 1 - Verifique as suas necessidades de segurança

Voltar ao topo

Antes de pensar no tipo de firewall que deve adquirir, os

responsáveis da empresa devem responder a uma questão básica:

Será que o firewall se adequa às

necessidades de negócio e de segurança?

Geralmente, é recomendável começar com a política mais segura de

implementação de firewall, isto é, negar todos os serviços


excepto aqueles que a política

de segurança da empresa explicitamente permite, pelo facto de os

objectivos empresariais o exigirem. O responsável pela elaboração

das políticas deve então

responder às seguintes questões:

Quais os serviços da Internet que a organização necessita de

utilizar para o desempenho da sua actividade (como por exemplo,

HTTP - Hypertext Transfer Protocol

-, SSL - Secure Sockets Layer - ou SMTP - Simple Mail Transfer

Protocol)?

Quais os serviços que vão estar disponíveis para o exterior

(clientes, parceiros) - http, HTTPS, FTP, SMTP, DNS.

Quais os serviços para utilizadores internos disponíveis no

exterior (email, aplicações internas, etc.)

Onde é que os serviços vão ser utilizados - localmente, através

da Internet, a partir de casa ou de organizações externas ?

Quais as prioridades da organização, segurança ou usabilidade?

Qual o nível de crescimento em termos de capacidade e serviços

que espera alcançar no futuro - a curto, médio e longo prazo?

No fundo, trata-se de saber se o firewall faz o que a empresa

necessita que faça, de uma forma que vá de encontro às suas

necessidades administrativas e

de negócio e se realiza essas funções de uma forma segura. Mas

existem também necessidades específicas das pequenas e médias


empresas. Estas organizações

requerem normalmente facilidade de instalação e administração do

sistema de firewall - frequentemente, através de um interface

baseado num browser da Web

e um mecanismo de autenticação fácil de gerir. Os seus requisitos

mais comuns em termos de serviços são:

Email - este serviço inclui o serviço SMTP de envio de mensagens

de correio electrónico, bem como os serviços POP3 - Post Office

Protocol 3 - e IMAP - Internet

Message Access Protocol - de recepção de emails.

World Wide Web - neste grupo incluem-se os protocolos HTTP e o

HTTPS (utilizando SSL)

Network Adress Translation (NAT) - a maior parte das empresas

ligadas à Internet e, em especial, as de pequena e média

dimensão, utilizam endereços IP não-routeáveis

para as suas redes locais internas e por isso necessitam deste

mecanismo que traduz os endereços utilizados dentro de uma rede

interna para outros endereços

IP válidos na Internet.

Domain Name Service (DNS) - este protocolo cria uma associação

entre nomes associados a um domínio e endereços IP de Internet

por forma a facilitar a utilização.

Passo 2 - Escolha entre os vários tipos de firewalls


Voltar ao topo

Todos os firewalls partilham as funções de gateways de controle

situados entre duas ou mais redes através do qual todo o tráfego

deve passar, de estabelecerem

as políticas de segurança definidas e efectuarem um registo

permanente da actividade de troca de dados entre as redes. Mas

estas três funções são desempenhadas

de formas diversas em cada um dos firewalls, devido ao facto de

utilizarem tecnologias diferentes. Os firewalls comerciais podem

ser distinguidos no que

diz respeito à tecnologia e às aplicações pretendidas.

Por tecnologia:

Filtro de pacotes: Consiste num router - dispositivo que se liga

a redes locais (LANs) equipado com software que controla cada

pacote que entra ou sai da

rede informática, aceitando-o ou rejeitando-o de acordo com

regras definidas pelo utilizador. É uma solução barata, rápida,

transparente e flexível, mas

as regras são difíceis de configurar e testar, o que pode deixar

um sistema aberto a vulnerabilidades. Este dispositivo pode

alterar endereços através

de NAT dos pacotes IP mas a ligação IP é sempre efectuada entre


os computadores cliente e servidor.

Gateway de aplicações: Um ponto de ligação entre dois sistemas de

rede que permite a troca de dados entre ambos, introduzindo,

neste caso, mecanismos de

segurança para aplicações específicas, como servidores de FTP ou

Telnet. Sendo bastante efectivo, pode impor uma degradação no

desempenho do servidor onde

está instalado e também da velocidade de comunicação na própria

rede.

Firewall Hibrido - como o nome indica, usam elementos de mais de

uma tecnologia. Na prática a maioria dos firewall comerciais

combina as técnicas de filtro

de pacotes e de gateway de aplicações.

Por aplicações pretendidas:

Firewalls de PCs - também conhecidos por firewalls pessoais,

estes são relativamente novos no mercado e têm com objectivo

proteger máquinas individuais

- habitualmente um PC desktop - através do estabelecimento de uma

política de segurança para a máquina em que são instalados.

Normalmente controlam a camada

do protocolo IP do computador, vigiando o tráfego IP bem como

aplicações comuns. O mais recente sistema operativo da Microsoft,

o Windows XP, já vem com

uma aplicação deste tipo pré-integrada, mas que segundo a empresa


"só oferece um nível básico de protecção".

Existem várias soluções de software para firewalls. Estes

programas podem ser gratuitos, como a versão básica do Zone Alarm

ou o Secure Desktop, que oferecem

protecção básica, bastando para tal efectuar o download a partir

da Web e seguir as instruções. Porém, o software comercial de

firewall oferece um maior

apoio técnico por um preço que geralmente ronda entre os 20 e 50

dólares (22,7 a 56,7 euros ou 4.550 a 11.380 escudos). Para além

de serem mais fáceis

de instalar, contêm aplicações que pesquisam vírus no computador.

Os mais conhecidos são o Norton Personal Firewall 2001 da

Symantec, o McAfee Firewall

2.1 da Network Associates e o Zone Alarm Pro 1.0, a versão

comercial do programa já referido

Firewalls SOHO (Small Office/Home Office) - destinados a empresas

com dois a 50 utilizadores e que não dispõem de pessoal

especializado em segurança de

tecnologias da informação. Caracterizam-se por serem bastante

fáceis de instalar e configurar. Alguns produtos desta gama

incluem com o firewall outro

software de servidores - Web, email e DNS. Os firewalls SOHO

apresentam-se habitualmente na forma de dispositivos de hardware.

Firewall Appliances - normalmente vocacionados para as empresas


ou os escritórios mais pequenos - por exemplo, os escritórios do

departamento de vendas

no exterior de uma empresa maior. Trata-se geralmente de sistemas

especializados, com menos opções de configuração do que um

firewall ao nível de uma grande

organização. Este tipo de aplicações são dirigidas às

necessidades de segurança de uma PME, e não implicam os mesmos

custos elevados - em termos de recursos

administrativos e de aquisição - dos sistemas adoptados pelas

grandes empresas. Nestes casos, a diferença baseia-se no tamanho

da companhia onde se pretender

implantar o firewall, das funcionalidades e das opções de

configuração seleccionadas.

Firewalls à escala de uma grande empresa - este tipo de sistemas

de segurança confunde-se por vezes com firewall appliances.

Frequentemente incluem funcionalidades

adicionais que são necessárias para a actividade de uma grande

companhia, como o suporte para acesso do utilizador a partir da

Internet e através do firewall,

serviços de intra e extranet, administração de múltiplos

firewalls e controle centralizado. Podem também integrar sistemas

mais robustos de registo, alarmes

e capacidades de aviso.
Passo 3 - Delimite perímetros de segurança internos e externos

Voltar ao topo

Quando pensam em implementar um firewall, as empresas devem estar

em primeiro lugar bem cientes de que os perigos e as ameaças à

segurança dos seus dados

não vêm só do exterior, mas também do interior, ou seja, dos

próprios empregados da organização. Para além disso, é necessário

ter em conta que tanto os

ataques premeditados como os acidentes podem acontecer a qualquer

momento. Daí a necessidade de estabelecer uma política de

segurança interna e externa:

Ao nível da rede interna:

Implementação de princípios que definam a utilização correcta dos

computadores desktop, bem como do modem e das aplicações.

Criação de um conjunto de direitos dos utilizadores com base na

necessidade da execução de determinadas regras para o

funcionamento da organização.

Colocar em funcionamento um sistema de registo, bem como um

procedimento adequado para monitorizar a actividade.

Instalação de verificadores de conteúdo de modo a pesquisar dados

suspeitos no tráfego da rede

Ao nível das redes externas:


Utilização da encriptação para autenticar correctamente ambas as

partes envolvidas numa transacção e para prevenir a repetição de

ataques bem como o acesso

e modificação não-autorizados.

Contudo, os canais de encriptação têm o inconveniente de

frequentemente iludir o firewall, fazendo com que o tráfego

nesses canais passe indiscriminadamente

através de qualquer tipo de filtros ou proxies que não forem

capazes de o decifrar. A encriptação forte - utilização de

serviços criptográficos com um

algoritmo e uma extensão da chave adequada ao valor da informação

- deve, por isso, ser empregada.

As técnicas de cifra devem ser aplicadas ao mais alto nível

possível.

A introdução de chaves deve ser realizada através de um sistema

bem definido e implementado de administração de chaves.

Quer ao nível interno, quer externo, é aconselhada a utilização

de sistemas de autenticação - como os códigos de acesso para uma

só vez ou os certificados

digitais - que permitam controlar quem tem acesso a informações

confidenciais,

Passo 4 - Deficiências dos firewalls


Voltar ao topo

Para além das suas evidentes vantagens, podem ser apontados

vários problemas aos firewalls

Desempenho - independentemente do tipo de sistema adoptado, o

desempenho é um dos principais problemas dos firewalls, uma vez

que podem gerar um congestionamento

no tráfego de rede, dado que todos os dados vindos de fora para

dentro têm que passar. O gateway de aplicações envolve o

processamento duplo dos dados,

ao passo que o filtro de pacotes desacelera o processo de

routeamento. O desenvolvimento de firewalls em Intranets irá

tornar mais premente a necessidade

de um desempenho mais elevado, dado que os utilizadores vão

querer obter velocidades tão rápidas como as das redes internas.

Falso sentimento de segurança - um firewall não resolve todos os

problemas de segurança de uma organização. Apenas soluciona o

problema de restringir o

tráfego oriundo do exterior. Por outro lado apenas protege a

organização da informação que é trocada ao longo da sua rede.

Também não pode fazer nada no

caso de brechas de segurança, como disquetes ou CD-ROMs que os

empregados trazem de casa ou de outros lados. Por outro lado, o


firewall não inspecciona

o conteúdo dos pacotes de dados mas apenas a sua proveniência.

Daí que sejam ineficazes contra os vírus que, normalmente, vêm

embebidos dentro de ficheiros.

Necessidade de protecção - no caso de um hacker ultrapassar a

protecção do firewall, ambas as redes às quais se liga ficarão

acessíveis a qualquer ataque.

Por isso, a segurança do próprio firewall é muito importante.

Glossário

autenticação - processo de determinar se alguém ou algo é, de

facto, quem afirma ser. Nas redes informáticas privadas e

públicas - incluindo a Internet

-, a autenticação é frequentemente realizada através da

utilização de palavras-chave de acesso. De forma a garantir que o

utilizador é autêntico, assume-se

que este deve ter conhecimento da palavra-chave designada por ele

quando visitou pela primeira vez o serviço e se registou.

firewall - sistema ou conjunto de sistemas que impõem uma

barreira entre duas ou mais redes, controlando o acesso de uma

para outra.

FTP (file transfer protocol) - protocolo utilizado na Internet

para o envio de ficheiros.


gateway - sistema que fornece e controla o acesso de e para uma

rede.

HTTP (HyperText Transport Protocol) - protocolo de comunicações

utilizado para ligar servidores à World Wide Web. A sua principal

função é estabelecer a

ligação com um servidor da Web e transmitir páginas de HTML ao

browser do utilizador. Os endereços dos sites começam com um

prefixo http://.

IMAP (Internet Messaging Access Protocol) - um novo servidor

padrão de email que se espera que dentro em breve seja bastante

utilizado na Internet. Cria

um espaço para guardar as mensagens de correio electrónico

recebidas até que os utilizadores se registem e as transfiram

para a sua caixa de correio pessoal.

O IMAP4 é a sua versão mais recente. O IMAP é mais sofisticado

que o POP3. As mensagens podem ser arquivadas em pastas, as

caixas de correio podem ser

partilhadas e um utilizador pode aceder a vários servidores de

email. Oferece também uma melhor integração com o protocolo MIME

que é utilizado para anexar

ficheiros.

Intranet - rede fechada de computadores que utilizam tecnologias

semelhantes às da Internet, como servidores Web e browsers, para

tornar a informação disponível


a um grupo controlado de utilizadores. Pode ter uma ligação para

a Internet ou existir na própria Rede.

POP3 (Post Office Protocol 3) - um servidor padrão de correio

electrónico muito utilizado na Internet. Disponibiliza um espaço

para guardar os emails recebidos

até que os utilizadores se registem e as transfiram.

proxy - agente de software que actua em nome do utilizador.

Normalmente, aceita uma ligação do utilizador, decide se o

endereço IP do utilizador ou cliente

pode utilizar a porta do proxy.

router - dispositivo de hardware que estabelece ligação a uma

rede local (LAN).

SMTP (Simple Mail Transfer Protocol) - consiste no protocolo

padrão de email na Internet. É um protocolo de redes TCP/IP que

define o formato da mensagem

e o agente de transferência da mensagem, que guarda e encaminha a

mensagem para o seu destinatário.

SSL (Secure Sockets Layer) - protocolo muito comum para a

administração da segurança de uma transmissão de mensagem na

Internet. Utiliza um nível de programa

localizado entre o Hypertext Transfer Protocol (HTTP) da Web e o

Transport Control Protocol (TCP) da Internet. O SSL vem incluído

nos browsers da Microsoft

e da Netscape.
Telnet - programa de emulação de terminal para redes TCP/IP como

a Internet que liga o computador a um servidor.

TCP (Transmission Control Protocol) - um dos principais

protocolos das redes do tipo TCP/IP.

UDP (User Datagram Protocol) - tal como o TCP, corre sobre as

redes do tipo IP (Internet Protocol). É utilizado principalmente

para transmitir mensagens

através de uma rede.

Bibliografia

Ahsan, Muninder P. -

Firewalls: Perspective (

Gartner Research, Ago 2000)

Gibson, Steven - Personal Firewalls (Gibson Research Corporation,

2001)

Internet Computer Security Association -

3rd Annual Firewall Buyer's Guide (

ICSA, 1999)

Watkins, Kevin -

Firewalls and Their Limitations (

Insight Consulting, Dez 2000)

Referências

Computer Security Institute;

www.gocsi.com/

Gibson Research Corporation;


www.grc.com

Autor: Miguel Caetano/Casa dos Bits

Você também pode gostar